No C-Days 2022 houve ataques de phishing, denial of service, fake news e outras ameaças que são comuns no dia a dia das organizações, mas era tudo a fingir. O Exercício Nacional Cibersegurança (ExNCS) é como os jogos de guerra da cibersegurança,  tudo se passa num universo simulado que é criado com cenários de ataques e uma plataforma de interação, onde os “jogadores” têm de se mostrar à altura dos desafios apresentados, reagindo e defendendo-se de ciberataques.

Este ano o Exercício Nacional Cibersegurança (ExNCS) decorreu em simultâneo com a conferência C-Days 2022 e durante dois dias a resiliência do sector da Saúde foi testada em Portugal, mas também a nível europeu.

João Alves, coordenador do departamento de regulação, certificação e supervisão do CNCS, explicou ao SAPO TEK que todo o cenário já estava a ser preparado há quatro anos, com a coordenação da ENISA para o exercício europeu, e que todos os países da Europa estavam a “jogar” em simultâneo com o envolvimento das entidades da área da saúde.

“O sector já tinha sido identificado antes da pandemia como relevante para fazer um teste”, adianta João Alves, detalhando que habitualmente o Cyber Europe acontece de dois em dois anos mas que não se realizou em 2020 por causa da pandemia.

O cenário de teste de cibersegurança é alargado e abrange vários tipos de desafios às entidades participantes. “Envolve tudo o que pode imaginar de possíveis ataques a sistemas de saúde, desde ataques a sistemas de hospitais a dispositivos médicos, cadeia de fornecimento, a engenharia social do hospital (como alguém carregar num botão de uma máquina e isso fazer com que a informação seja encriptada), até também ataques de negação de serviço que podem entupir linhas de atendimento”, explica o coordenador do exercício em Portugal.

Por isso, este ano participaram os principais hospitais portugueses, públicos e privados, e o CNCS tomou também a decisão de criar na sua zona nacional, dentro do cenário europeu, incidentes específicos em áreas onde a saúde tem uma forte dependência, como as telecomunicações e a energia, trazendo também para o exercício os reguladores e as entidades públicas que se relacionam com o sector. “É um ecossistema alargado que está a ser posto à prova”.

A sala onde os exercícios se realizaram durante os dois dias tinha acesso reservado mas o SAPO TEK foi convidado só para observar. Se não soubéssemos que estavam a acontecer ataques informáticos, o ambiente podia ser o de um co-work, onde mais de meia centena de pessoas trabalhava de forma concentrada, olhos nos portáteis e nos ecrãs de informação, com alguns momentos de maior agitação e partilha entre ocupantes da mesma mesa, ou de mesas vizinhas que pudemos observar durante a visita controlada.

Veja as imagens do exercício promovido pelo CNCS

João Alves explica que são 45 as entidades a participar em Portugal e que todas tinham pelo menos um elemento na sala, mas que no “back office” podiam ter mais cinco a dez pessoas a dar apoio, e algumas chegavam a ter 30 elementos à distância.

“O exercício está a ser jogado com técnicos que estão a analisar código operacional mas também a nível estratégico, com pedidos da imprensa a que têm de dar resposta, decisões legais […] É testada a componente técnica mas também o processo de decisão”, explicou ao SAPO TEK quando o exercício estava ainda a decorrer.

A ideia é que as entidades que participam consigam identificar falhas para mudar procedimentos e implementar novos processos mais eficientes, mas também que criem redes de contactos dentro do ecossistema.

Apesar do objetivo do CNCS, e da ENISA, não ser avaliar individualmente a resposta de cada uma das entidades, mas apenas a do sector de forma global, João Alves lembra que cada entidade pode criar mecanismos de avaliação com base no exercício e depois tirar lições para melhorar a sua capacidade de resposta.

“O sucesso do exercício é o que as entidades que participam quiserem”, afirma, admitindo porém que é importante que nem tudo decorra na perfeição.

“Se tudo correr bem o exercício está mal feito, porque se era para correr tudo bem não era preciso estarmos a testar […] Está aqui muito tempo e dinheiro investido em recursos”, justifica João Alves.

Só pela possibilidade de colaboração já há vantagens nos dois dias de exercícios realizados. “A partir de amanhã sabem quem é quem noutro hospital, quem vai lidar com determinado problema ou incidente. E se tiverem um incidente podem entrar em contacto uns com os outros porque se conhecem”, realça o coordenador do exercício.

A análise global dos resultados só vai ser feita mais tarde, num processo longo de avaliação da informação do exercício nacional e do exercício europeu, onde o objetivo é perceber o nível de preparação e a capacidade de resposta de todo o sector da saúde a ciberataques, potenciando também a partilha de experiências no espaço da União Europeia.